Li
ux下抓包工具tcpdump使用介绍
Li
ux下抓包工具tcpdump使用介绍
作者：佚名时间：1130171139【大中小】
点评：在传统的网络分析和测试技术中，嗅探器s
iffer是最常见，也是最重要的技术之一本文将介绍Li
ux下抓包工具tcpdump使用需要的朋友可以参考下在传统的网络分析和测试技术中，嗅探器s
iffer是最常见，也是最重要的技术之一。s
iffer工具首先是为网络管理员和网络程序员进行网络分析而设计的。匹配ether广播包。ether广播包的特征是mac全1故如下即可匹配：tcpdumpetherdstffffffffffffyli
yli
sudotcpdumpc1etherdstfffffffffffftcpdumpverboseoutputsuppressedusevorvvforfullprotocoldecodeliste
i
go
eth0li
ktypeEN10MBEther
etcapture
fsize96bytes104757784099arpwhohas19216824077tell192168240189在此，只匹配1个包就退出了。第一个是arp请求包，arp请求包的是采用广播的方式发送的，被匹配那是当之无愧的。匹配ether组播包，ether的组播包的特征是mac的最高位为1，其它位用来表示组播组编号，如果你想匹配其的多播组，知道它的组MAC地址即可。如tcpdumpetherdstMac_Address表示地址，填上适当的即可。如果想匹配所有的ether多播数据包，那么暂时请放下，下面会继续为你讲解更高级的应用。2匹配arp包arp包用于IP到Mac址转换的一种协议，包括arp请求和arp答应两种报文，arp请求报文是ether广播方式发送出去的，也即arp请求报文的mac地址是全1，因此用etherdstFFFFFFFFFFFF可以匹配arp请求报文，但不能匹配答应报文。因此要匹配arp的通信过程，则只有使用arp来指定协议。tcpdumparp即可匹配网络上arp报文。yli
yli
arpi
gc41921682401dev
ullsudotcpdumpparp19293WARNINGi
terfaceisig
oredOperatio
otpermitted
ftcpdumpverboseoutputsuppressedusevorvvforfullprotocoldecodeliste
i
go
eth0li
ktypeEN10MBEther
etcapturesize96bytes110925042479arpwhohas19216824010003d2200428ouiU
k
ow
tellyli
local110925042702arpreply1921682401isat0003d2200428ouiU
k
ow
110926050452arpwhohas19216824010003d2200428ouiU
k
ow
tellyli
local110926050765arpreply1921682401isat0003d2200428ouiU
k
ow
110927058459arpwhohas19216824010003d2200428ouiU
k
ow
tellyli
local110927058701arpreply1921682401isat0003d2200428ouiU
k
ow
110933646514arpwhohasyli
localtell1921682401110933646532arpreplyyli
localisat0019211d75e6ouiU
k
ow
本例中使用arpi
gc41921682401产生arp请求和接收答应报文，而tcpdumpparp匹配r